【Wireshark】GeoIP機能によるパケットIPアドレスの地理情報表示

1 はじめに

WiresharkGeoIP機能を利用すれば、キャプチャしたパケットのIPアドレスをもとに、
そのIPアドレスを管理している組織(インターネットサービスプロバイダー等)の
AS番号や場所(緯度経度等)を表示させることができます。

本記事では、WiresharkでのGeoIP機能の使い方を示します。

WiresharkGeoIP機能は、米国MaxMind社が 提供する無料版のGeoIPデータベース
GeoLite2 Country / GeoLite2 City / GeoLite2 ASN)を使用して実現しています。

このGeoIPデータベースは無償で利用でき、
C言語やApache(PHP)などで使えるライブラリ群を提供しているため、
Wiresharkとも連携して
IPアドレスから緯度経度AS番号などの情報を調べることが可能となっています。

なお、本記事で参照している図は、 2022/08現在の最新であるVersion 3.6.7 (v3.6.7-0-g4a304d7ec222)のものです。
Wiresharkは更新頻度が高いため、
本記事の図と異なってしまっているかもしれないことを予めお断りして起きます。

【脚注】

AS番号
ISP(インターネットサービスプロバイダー)とISPとを結ぶ際に利用される事業者を
区別する番号で、IX(インターネットエクスチェンジ)でも用いられる。
IPアドレスを電話番号とすると、AS番号は国番号のようなものと考えることができる。

2 Wiresharkによる地理情報の表示

Wiresharkでは、GeoIP機能を利用して、
パケットの終端IPアドレスの下に示す情報を表示することができます。

Coutry
City
AS Number
AS Organization
緯度、経度

上に示した情報が表示されるのは、メニュー「統計 / 終端」を選択した時です。

なお、上の表示項目は、
2022/08現在の最新であるVersion 3.6.7 (v3.6.7-0-g4a304d7ec222)の場合ですが、
バージョンアップによって表示される項目が変更されるのかもしれません。

本章では、パケットの終端IPアドレスの上に挙げた情報を表示する方法について示します。

2.1 パケット終端IPアドレスの統計を表示する方法

パケットの終端IPアドレスの統計は、
Wiresharkメニューの「統計(S)」から「終端(E)」を選ぶことにより表示されます。

2.2 パケット終端IPアドレスの統計表示

2.2.1 GeoIP機能無効時のパケット終端IPアドレスの統計表示

GeoIP機能が無効な時は、
図2.2-1に示すように、下に示す列に有効な値はなにも表示されません。

Coutry
City
AS Number
AS Organization

また、最下行の「地図」ボタンも無効となっています。

2.2.2 GeoIP機能が有効時のパケット終端IPアドレスの統計表示

GeoIP機能が有効な時は、
図2.2-2に示すように、下に示す列に有効な値が表示されます。

Coutry
City
AS Number
AS Organization

また、最下行の「地図」ボタンが有効となります。

最下行の「地図」ボタンから「ブラウザで開く」を選択すると、
図2.2-4に示すように、 パケット終端IPアドレスがプロットされた地図画面が開きます。

表示された終端IPアドレスポイントを選んでクリックすると、
図2.2-51に示すように、
国、都市の地理情報送受信のパケット数、バイト数の総量などが表示されます。

3 GeoIPデータベースの取得とWireshark/GeoIP機能の有効化

WiresharkGeoIP機能を有効にするには、GeoIPデータベースが必要です。

本章では、GeoIPデータベースの取得の仕方と、
GeoIPデータベースをどのようにWiresharkに連携して
GeoIP機能を有効にするのかについて示します。

3.1 GeoIPデータベースの取得

3.1.1 GeoIPデータベースのダウンロード

GeoIPデータベースのダウンロードについては、下に示すページをご覧ください。

【GeoIP2】GeoLite2のインストールと使い方 (IPから地域情報、ネットワークの取得など)

GeoIPデータベースをダウンロードするにはアカウントが必要で、
また簡単ダウンロードするにはライセンスキーが必要です。
上に示したページには、
アカウントの作成やライセンスキーの取得方法についても示されています。

アカウントライセンスキーも、どちらも無料で取得することができます。

3.1.2 Windowsでのtar.gzファイルの展開

ダウンロードしたファイルは、”.tar.gz”形式のファイルとなります。

Windowsで”.tar.gz”ファイルを展開する場合、特別の圧縮解凍ソフトは必要ありません。
コマンドプロンプトから”tar -xvf <ファイル名>”と、
Linuxの時のtarコマンドと同じように展開することができます。

図3.1-2に示すように、3~4のファイルが展開します。

3.1.3 GeoIPデータベースの簡単ダウンロード

GeoIPデータベースは、週に2度ほど更新するとのことです。

LinuxではMaxMind社から
自動更新を補助する”GeoIP Update program”が提供されているので、
データベースを自動で更新するようにするのは難しくありません。

でも、Windows版の”GeoIP Update program”は提供されていません。
できないことではありませんが、自動更新の設定はかなり面倒になります。

Windowsでは、GeoIPデータベースWiresharkだけが使用するのであれば、
それほど高い頻度で更新する必要はありません。

Wiresharkを使用する時だけ、最新のデータベースをダウンロードすればよいのです。
でも、
MaxMindのページに毎回ログインしてダウンロードするのは、
少々面倒なものです。

この面倒は、図3.1-3に示すように ”Download Databases”のページにある
Get Permalinks”をもとにWindowsショートカットを作成すれば、
データベースをワンクリックでダウンロードできるようになり避けることができます。

GeoIPデータベースのワンクリックダウンロードのWindowsショートカット作成手順は、
以下のようになります。

ⅰ) MaxMindの”Download Databases”のページを開く。
Download Databases”ページのURLは、以下のようです。

ⅱ) ダウンロードするデータベースの”Get Permalinks”をクリックして、
Permalinksのウィンドウを開きます。

ⅲ) 表示されるテキストをコピーし、
YOUR_LICENSE_KEY”の部分を、 自分のライセンスキーに書き換えます。
ライセンスキーの取得方法については、次のページをご覧ください。

【GeoIP2】GeoLite2のインストールと使い方 (IPから地域情報、ネットワークの取得など)

ⅳ) インターネットショートカット(.url)のショートカットファイルを作成します。

ⅴ) Webドキュメントタブの「URL(U)」に、 ⅲ)で編集したPermalinksを貼り付けます。

3.2 GeoIP機能の有効化

ダウンロードしたGeoIPデータベースを、
以下に示す手順でWiresharkに連携してGeoIP機能を有効にします。

ⅰ) Wiresharkを起動します。
編集(E)」メニューから「設定…(P)」を選択します。

ⅱ) 開いたダイアログから
Name Resolution」⇒ 「MaxMind database directories」の 「編集…」をクリックします。

ⅲ) 開いたダイアログに、GeoIPデータベースを置いたディレクトリパスを入力します。

以上で、GeoIP機能の有効化は終わりです。

以上

HTMLだと、
思うように編集することは難しく、やろうすればとっても時間が掛かります。
ですので、本記事の元となっているWordで作成したPDFを
ページ最後に貼り付けました。

役に立てていただければ、うれしく思います。

このPDFファイルは、自由に配布されてもかまいません。
ただし、再配布の際には、
入手元著者名は明らかにしてください

なお、上のPDFファイルの内容、また本文中の記述に、
誤字や脱字、誤った内容の記述など見つかりましたら、
下に示すフォームでご連絡いただければ幸いです。

お問い合わせ